Google heeft een zeroday in Chrome gerepareerd. Een type confusion-bug in de Javascript-engine had al een exploit, al geeft Google weinig details. Het is de zevende keer in 2022 dat er een zeroday in Chrome wordt gepatcht.
Google noemt de zeroday in een blogpost, maar het bedrijf geeft er weinig details over. Het is de enige patch die voor nu wordt doorgevoerd. De fix zit in de Stable-versie van 107.0.5304.87/.88 van Chrome.
Google geeft weinig details over de kwetsbaarheid. Het bedrijf wacht daar meestal mee tot de update door veel gebruikers is doorgevoerd. De bug is geclassificeerd als High, en heeft de code CVE-2022-3723 gekregen. Het gaat om een type confusion-kwetsbaarheid in de V8-JavaScript-engine van Chrome. In dat geval controleert de engine niet goed welk type object wordt ingeladen. Dat kan in ernstige gevallen mogelijk maken dat een aanvaller code kan uitvoeren, maar de impact is in dit geval niet bekend.
Google zegt dat een exploit voor de bug bestaat, maar het bedrijf geeft daar zoals gewoonlijk geen details over. Ook is niet duidelijk of de bug actief werd uitgebuit via die exploit. Het is de zevende keer in 2022 dat Google een zeroday in Chrome repareert. De kwetsbaarheid werd aangedragen door drie externe beveiligingsonderzoekers, Jan Vojtěšek, Milánek en Przemek Gmerek van Avast.